基于可信数据格式的通用数据的加密方法、解密方法及其装置与流程

本发明涉及计算机信息安全技术领域，特别是指一种基于可信数据格式的通用数据的加密方法、解密方法及其装置。

背景技术：

随着大数据时代的到来，数据规模发生爆发式增长，数据安全问题愈发重要，数据保护尤为重要，因此加密是增强数据安全性的最有效方式。例如文档加密方法是通过采用加密算法和各种加密技术对网络或计算机中的文档进行加密防止文档非法外泄的技术；流数据加密方法是针对流数据如二进制文件数据流、网络传输数据流等进行的加密的技术。

然而，对于各种类型各种格式的数据如图片、文档、邮件、流数据等，对应的数据加密方法和权限管理方法也是各种各样，因此无法支持面向各种结构化和非结构化数据的通用数据加密，也无法支持多用户的数据协作、数据分享和数据的访问控制，导致不利于多部门，多成员的数据协作、数据分享和访问控制。

技术实现要素：

有鉴于此，本发明的目的在于提出一种基于可信数据格式的通用数据的加密方法、解密方法及其装置，以便于数据安全交换，有利于加密数据的分享、协作和访问控制。

基于上述目的，在本发明的第一方面，本发明提供了一种基于可信数据格式的通用数据的加密方法，所述方法包括：

采用加密算法对数据进行加密，得到密文；

将所述密文标记封装为可信数据格式，得到可信数据格式数据。

在本发明的一些实施例中，所述将所述密文标记封装为可信数据格式的步骤，包括：

将密文数据置于数据载荷部分，将与密文数据相关的元数据信息置于元数据部分；

将密文部分和元数据部分封装为可信数据格式。

在本发明的一些实施例中，所述元数据信息包括唯一标识、创建者、创建时间、密文数据属性、密文摘要、加密所述密文的密钥元数据、数据访问策略元数据中的至少一种。

在本发明的第二方面，本发明提供了一种基于可信数据格式的通用数据的解密方法，所述方法包括：

解析可信数据格式化数据，得到元数据部分；

根据用户访问数据行为和所述元数据部分中的数据访问策略元数据，判断用户访问数据行为是否符合数据访问策略；

若用户访问数据行为符合数据访问策略，则根据所述密钥元数据获取密钥组；

使用所述密钥组对所述可信数据格式化数据进行解密，得到明文数据。

在本发明的一些实施例中，所述数据访问策略包括访问数据用户策略、访问数据时间策略、访问数据权限策略中的至少一种。

在本发明的一些实施例中，所述根据用户访问数据行为和所述元数据部分中的数据访问策略元数据，判断用户访问数据行为是否符合数据访问策略的步骤，包括：

向控制中心发送用户访问数据行为和密钥元数据，控制中心根据用户访问数据行为和所述元数据部分中的数据访问策略元数据，判断用户访问数据行为是否符合数据访问策略；

所述控制中心存储有数据访问策略元数据和密钥组。

在本发明的一些实施例中，所述方法还包括：

过滤和验证可信数据格式化数据。

在本发明的第三方面，本发明提供了一种基于可信数据格式的通用数据的加密装置，所述装置包括：

加密模块，用于采用加密算法对数据进行加密，得到密文；

封装模块，用于将所述密文标记封装为可信数据格式，得到可信数据格式数据。

在本发明的一些实施例中，所述封装模块包括：

分配模块，用于将密文数据置于数据载荷部分，将与密文数据相关的元数据信息置于元数据部分；

数据模块，用于将密文部分和元数据部分封装为可信数据格式。

在本发明的第四方面，本发明提供了一种基于可信数据格式的通用数据的解密装置，所述装置包括：

解析模块，用于解析可信数据格式化数据，得到元数据部分；

判断模块，用于根据用户访问数据行为和所述元数据部分中的数据访问策略元数据，判断用户访问数据行为是否符合数据访问策略；

获取模块，用于若用户访问数据行为符合数据访问策略，则根据所述密钥元数据获取密钥组；

解密模块，用于使用所述密钥组对所述可信数据格式化数据进行解密，得到明文数据。

本发明实施例提供的基于可信数据格式的通用数据的加密方法、解密方法及其装置具有以下有益效果：

(1)保证敏感数据在不可信网络下的安全交换；

(2)面向各类数据通用的数据加密方法，无需多种针对不同格式数据的加密方法，有利于加密数据的分享、协作；

(3)通过数据加密方法中的数据访问策略实现对数据的访问控制；

可见，本发明实施例提供的基于可信数据格式的通用数据的加密、解密方法及其装置解决了由于现有技术无法提供一种面向各类数据通用的数据加密、解密方法的问题，实现了对各类数据的加密、解密，从而便于数据安全交换，有利于加密数据的分享、协作和访问控制。

附图说明

图1为本发明一个实施例中提供的基于可信数据格式的通用数据的加密方法的方法流程图；

图2为本发明另一个实施例中提供的基于可信数据格式的通用数据的加密方法的方法流程图；

图3为本发明实施例中提供的可信数据格式的数据的模块图；

图4为本发明一个实施例中提供的基于可信数据格式的通用数据的解密方法的方法流程图；

图5为本发明一个实施例中提供的基于可信数据格式的通用数据的加密装置的结构示意图；

图6为本发明一个实施例中提供的基于可信数据格式的通用数据的解密装置的结构示意图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚明白，以下结合具体实施例，并参照附图，对本发明进一步详细说明。

参见图1，其为本发明一个实施例中提供的基于可信数据格式的通用数据的加密方法的方法流程图。作为本发明的一个实施例，所述加密方法包括：

s101，采用加密算法对数据进行加密，得到密文。

具体地，采用通用加密算法对数据进行加密得到密文。在本发明实例中，所述数据可以为文本、富文本、图片、文件、邮件等多种结构化和非结构化数据格式。

s102，将所述密文标记封装为可信数据格式，得到可信数据格式数据。

在该步骤中，将所述密文标记封装为可信数据格式，从而得到可信数据格式数据，以保证数据的安全性。

作为本发明的又一个实施例，如图2所示，所述加密方法包括：

s201，采用加密算法对数据进行加密，得到密文。

s202，将密文数据置于数据载荷部分，将与密文数据相关的元数据信息置于元数据部分。

如图3所示，所述元数据信息包括唯一标识、创建者、创建时间、密文数据属性、密文摘要、加密所述密文的密钥元数据、数据访问策略元数据中的至少一种。也可以进一步包括其他自定义项。

s203，将密文部分和元数据部分封装为可信数据格式，得到可信数据格式数据。

在具体实施过程中，发送方使用通用加密算法对数据进行加密得到密文，按照可信数据格式进行标记封装，得到可信数据格式的数据。可选地，所述发送方包括应用程序、硬件设备等，发送方可在移动终端、服务器端通过调用加密接口实现对所述数据的加密，按照既定的可信数据格式进行标记封装。

参见图4，其为本发明一个实施例中提供的基于可信数据格式的通用数据的解密方法的方法流程图。作为本发明的一个实施例，所述解密方法包括：

s401，解析可信数据格式化数据，得到元数据部分。

s402，根据用户访问数据行为和所述元数据部分中的数据访问策略元数据，判断用户访问数据行为是否符合数据访问策略。

在该步骤中，根据可信数据格式化数据中的数据访问策略元数据，获取数据访问策略，进而对用户访问数据行为进行管控。

s402，若用户访问数据行为符合数据访问策略，则根据所述密钥元数据获取密钥组。其中，所述数据访问策略可以包括访问数据用户策略、访问数据时间策略、访问数据权限策略中的至少一种。

在该步骤中，根据所述元数据部分中的密钥元数据获取对应的一个或多个密钥组。

s403，使用所述密钥组对所述可信数据格式化数据进行解密，得到明文数据。

作为本发明的再一个实施例，所述解密方法还可以包括：

步骤400，过滤和验证可信数据格式化数据。

在步骤401之前，通过匹配标记格式(可信数据格式)过滤得到可信数据格式化数据，然后检查所述可信数据格式化数据的密文摘要，通过密文摘要验证数据的完整性。若所述密文数据的内容被篡改，则验证失败，无法解密所述密文数据。

作为本发明的一个实施例，所述加密方法和解密方法可以包括：

s501，发送方采用加密算法对数据进行加密，得到密文，然后将所述密文标记封装为可信数据格式，得到可信数据格式数据。

在本发明实例中，其中数据可为文本、富文本、图片、文件、邮件等多种结构化和非结构化数据格式。在具体实施过程中，发送方将密文数据置于数据载荷部分，将与密文数据相关的元数据信息置于元数据部分。如图3所示，所述元数据信息包括唯一标识、创建者、创建时间、密文数据属性、密文摘要、加密所述密文的密钥元数据、数据访问策略元数据中的至少一种。也可以进一步包括其他自定义项。在具体实施过程中，发送方使用通用加密算法对数据进行加密得到密文，按照可信数据格式进行标记封装，得到可信数据格式的数据。可选地，所述发送方包括应用程序、硬件设备等，发送方可在移动终端、服务器端通过调用加密接口实现对所述数据的加密，按照既定的可信数据格式进行标记封装。

s502，接收方过滤和验证可信数据格式化数据。

在本发明实例中，接收方通过匹配标记格式(可信数据格式)过滤得到可信数据格式化数据，然后检查所述可信数据格式化数据的密文摘要，通过密文摘要验证数据的完整性。若所述密文数据的内容被篡改，则验证失败，无法解密所述密文数据。其中接收方包括应用程序、硬件设备等。

s503，接收方解析可信数据格式化数据，得到元数据部分；向控制中心发送用户访问数据行为，控制中心根据用户访问数据行为和所述元数据部分中的数据访问策略元数据，判断用户访问数据行为是否符合数据访问策略。其中，所述数据访问策略可以包括访问数据用户策略、访问数据时间策略、访问数据权限策略中的至少一种。在该步骤中，根据可信数据格式化数据中的数据访问策略元数据，获取数据访问策略，进而对用户访问数据行为进行管控。所述控制中心存储有数据访问策略元数据和密钥组。

s504，若用户访问数据行为符合数据访问策略，所述接收方向控制中心发送密钥元数据，根据所述密钥元数据，从控制中心获取密钥组，并使用所述密钥组对所述可信数据格式化数据进行解密，得到明文数据。在该步骤中，根据所述元数据部分中的密钥元数据获取对应的一个或多个密钥组。

需要说明的是，在s503中，可以向控制中心发送用户访问数据行为和密钥元数据，以减少s504中向控制中心再次发送密钥元数据的步骤。

作为本发明的再一个实施例，所述加密方法和解密方法可以包括：

s601，用户采用加密算法对数据进行加密，得到密文，然后将所述密文标记封装为可信数据格式，得到可信数据格式数据。

在本发明实例中，其中数据可为文本、富文本、图片、文件、邮件等多种结构化和非结构化数据格式。在具体实施过程中，用户将密文数据置于数据载荷部分，将与密文数据相关的元数据信息置于元数据部分。如图3所示，所述元数据信息包括唯一标识、创建者、创建时间、密文数据属性、密文摘要、加密所述密文的密钥元数据、数据访问策略元数据中的至少一种。也可以进一步包括其他自定义项。在具体实施过程中，用户使用通用加密算法对数据进行加密得到密文，按照可信数据格式进行标记封装，得到可信数据格式的数据。可选地，所述用户包括应用程序、硬件设备等，用户可在移动终端、服务器端通过调用加密接口实现对所述数据的加密，按照既定的可信数据格式进行标记封装。

s602，用户将加密后的可信数据格式数据分享给其他用户。

在本发明实例中，其中其他用户包括一个用户、多个用户、多个用户群。在具体实施过程中，用户可以通过网络方式将加密后的安全可信数据分享给其他用户。

s603，其他用户过滤和验证可信数据格式化数据。

在本发明实例中，其他用户通过匹配标记格式(可信数据格式)过滤得到可信数据格式化数据，然后检查所述可信数据格式化数据的密文摘要，通过密文摘要验证数据的完整性。若所述密文数据的内容被篡改，则验证失败，无法解密所述密文数据。其中，其他用户方包括应用程序、硬件设备等。

s604，其他用户解析可信数据格式化数据，得到元数据部分；向控制中心发送用户访问数据行为，控制中心根据用户访问数据行为和所述元数据部分中的数据访问策略元数据，判断用户访问数据行为是否符合数据访问策略。其中，所述数据访问策略可以包括访问数据用户策略、访问数据时间策略、访问数据权限策略中的至少一种。在该步骤中，根据可信数据格式化数据中的数据访问策略元数据，获取数据访问策略，进而对用户访问数据行为进行管控。所述控制中心存储有数据访问策略元数据和密钥组。

s605，若用户访问数据行为符合数据访问策略，所述其他用户向控制中心发送密钥元数据，根据所述密钥元数据，从控制中心获取密钥组，并使用所述密钥组对所述可信数据格式化数据进行解密，得到明文数据。在该步骤中，根据所述元数据部分中的密钥元数据获取对应的一个或多个密钥组。

需要说明的是，在s604中，可以向控制中心发送用户访问数据行为和密钥元数据，以减少s605中向控制中心再次发送密钥元数据的步骤。

参见图5，其为本发明一个实施例中提供的基于可信数据格式的通用数据的加密装置的结构示意图。作为本发明是一个实施例，所述装置包括：

加密模块501，用于采用加密算法对数据进行加密，得到密文；

封装模块502，用于将所述密文标记封装为可信数据格式，得到可信数据格式数据。

作为本发明的再一个实施例，所述封装模块502包括：

分配模块5021，用于将密文数据置于数据载荷部分，将与密文数据相关的元数据信息置于元数据部分；

数据模块5022，用于将密文部分和元数据部分封装为可信数据格式。

参见图6，其为本发明一个实施例中提供的基于可信数据格式的通用数据的解密装置的结构示意图。作为本发明的一个实施例，所述装置包括：

解析模块601，用于解析可信数据格式化数据，得到元数据部分；

判断模块602，用于根据用户访问数据行为和所述元数据部分中的数据访问策略元数据，判断用户访问数据行为是否符合数据访问策略；

获取模块603，用于若用户访问数据行为符合数据访问策略，则根据所述密钥元数据获取密钥组；

解密模块604，用于使用所述密钥组对所述可信数据格式化数据进行解密，得到明文数据。

由此可见，本发明实施例提供的基于可信数据格式的通用数据的加密方法、解密方法及其装置具有以下有益效果：

(1)保证敏感数据在不可信网络下的安全交换；

(2)面向各类数据通用的数据加密方法，无需多种针对不同格式数据的加密方法，有利于加密数据的分享、协作；

(3)通过数据加密方法中的数据访问策略实现对数据的访问控制；

可见，本发明实施例提供的基于可信数据格式的通用数据的加密、解密方法及其装置解决了由于现有技术无法提供一种面向各类数据通用的数据加密、解密方法的问题，实现了对各类数据的加密、解密，从而便于数据安全交换，有利于加密数据的分享、协作和访问控制。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，可以仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(read-onlymemory，rom)、随机存取存储器(randomaccessmemory，ram)、磁碟或者光盘等各种可以存储程序代码的介质。

所属领域的普通技术人员应当理解：以上任何实施例的讨论仅为示例性的，并非旨在暗示本公开的范围(包括权利要求)被限于这些例子；在本发明的思路下，以上实施例或者不同实施例中的技术特征之间也可以进行组合，并存在如上所述的本发明的不同方面的许多其它变化，为了简明它们没有在细节中提供。因此，凡在本发明的精神和原则之内，所做的任何省略、修改、等同替换、改进等，均应包含在本发明的保护范围之内。